Am 11. Januar 2025 wurde die Technische Universität Eindhoven Opfer eines massiven Cyberangriffs, der das gesamte digitale System der Universität lahmlegte. Was an diesem Winterabend mit einer ungewöhnlichen Sicherheitsmeldung begann, entwickelte sich schnell zu einer ernsten Bedrohung, die nur durch schnelle Entscheidungen und die entschlossene Zusammenarbeit zahlreicher Abteilungen abgewehrt werden konnte. Die Geschichte, wie die Universität durch den Sturm der Krise navigierte, illustriert die Komplexität moderner Cyberangriffe und zeigt auf, wie eine Hochschuleeinrichtung mit entschlossenem Krisenmanagement, technischer Expertise und Solidarität ihren Betrieb sichern kann. Die Alarmglocken läuteten an diesem Samstagabend kurz nach 22 Uhr, als das Sicherheitsteam ungewöhnliche Aktivitäten im Online-System bemerkte.
René Wassink, verantwortlich für Infrastruktur und Sicherheit, erhielt eine erste Warnmeldung, als er gerade eine Serie über einen Cyberangriff auf den Londoner Nahverkehr schaute. Innerhalb von Minuten war klar, dass nicht irgendein Routineversuch vorlag, sondern ein ernster Angriff, der die Sicherheitsmauern der Universität potentiell durchbrechen konnte. Die IT-Spezialisten an der Front mussten schnell reagieren. Die Angreifer nutzten offenbar gestohlene Zugangsdaten, versuchten, verschiedene Sicherheitsebenen zu umgehen und drangen schrittweise tiefer in die Systeme ein. Die automatisierten Abwehrsysteme der Universität zeigten sich zwar effektiv und verhinderten so manchen unerwünschten Zugriff, doch jener Angriff unterschied sich durch seine Hartnäckigkeit und Ausdauer von den täglich tausendfachem Angriffsversuchen, die normalerweise die Netzwerke belasten.
Innerhalb kurzer Zeit wurde die Einsatzgruppe vergrößert und erweiterte sich um hochrangige Sicherheitsverantwortliche und Infrastrukturleiter. Gemeinsam wurde klar, dass die einzige verlässliche Maßnahme darin bestand, sämtliche Netzwerkverbindungen stillzulegen – eine harte, aber notwendige Maßnahme, um das Eindringen der Hacker zu stoppen und weiteren Schaden abzuwenden. Bert van Iersel, stellvertretender Direktor von Library and Information Services (LIS), begab sich noch in den frühen Morgenstunden persönlich auf den Campus, um vor Ort mit der Abschaltung der Netzwerke zu beginnen. Dieses schnelle Handeln bewahrte die Universität vor einem möglichen Datenverlust oder einer noch tiefergehenden Kompromittierung der Systeme. Trotz der Schwere der Lage blieb das Team erstaunlich ruhig und fokussiert.
Vorbereitung und regelmäßige Notfallübungen hatten dazu beigetragen, den Krisenmodus reibungslos zu aktivieren. In den folgenden Stunden versammelte sich die Zentrale Krisenleitung, um einen klaren Überblick über die Situation zu gewinnen, notwendige Ressourcen zu bündeln und die Kommunikation für die gesamte Universität zu koordinieren. Patrick Groothuis, Vizepräsident der Universität und Vorsitzender der Krisenleitung, spricht von einem Moment echter Teamarbeit und einer beeindruckenden Solidarität, durch die sich alle Beteiligten als Einheit fühlten. Gleichzeitig stellte sich die Herausforderung, dass die gewohnten Kommunikationskanäle wie E-Mail, das interne Netzwerk, Teams und Lernplattformen ausgefallen waren. Ivo Jongsma, Sprecher der Universitätsleitung, übernahm die wichtige Aufgabe, die Universitätsgemeinschaft transparent zu informieren.
Da interne Systeme nicht verfügbar waren, entschied man sich für eine offene und ehrliche Kommunikation über externe Medien, wodurch die Öffentlichkeit zugleich im Bilde gehalten wurde. Für viele war dies ein ungewohntes, aber notwendiges Schritt, der das Vertrauen in den Umgang der Universität mit der Krise unterstützte. Über die nächsten Tage hinweg arbeiteten rund 25 IT-Expertinnen und -Experten aus verschiedenen Bereichen zusammen daran, die Schäden einzuschätzen, mögliche Spuren der Hacker zu identifizieren und die Systeme sicher wiederherzustellen. Die forensischen Untersuchungen wurden dabei auch von externen Behörden und israelischen Experten unterstützt, um die Herkunft der Angreifer sowie das Ausmaß der Infiltration genau zu analysieren. Bis heute sind die Täter nicht identifiziert, was die fortlaufenden Sicherheitsbemühungen zusätzlich motiviert.
Ein wichtiger Teil der Schadensbegrenzung war die stufenweise Wiederinbetriebnahme der Cloud-Dienste. Bereits am Mittwochabend konnte die Universität Microsoft Office 365, Teams und andere SaaS-Plattformen wieder freischalten, was vielen Nutzerinnen und Nutzern schnelle Rückkehr zur alltäglichen Arbeit ermöglichte. Am darauffolgenden Wochenende wurde unter Hochdruck daran gearbeitet, auch die lokalen Systeme wie Studierendenverwaltungssoftware und Forschungstools zu restaurieren. Diese Etappen wurden intensiv getestet, um sicherzustellen, dass keine Sicherheitslücken zurückblieben und der Betrieb wieder fehlerfrei starten konnte. Neben der Wiederaufnahme des Lehrbetriebs war es wichtig, auch die Forschungsgruppen zu unterstützen, die während des Ausfalls den Zugriff auf ihre Netzwerke und Geräte verloren hatten.
Hier zeigte sich die Komplexität, denn viele Forschungsprojekte sind auf permanente Datenerfassung und Rechenleistungen angewiesen. Die Organisation stellte daher gesonderte Teams bereit, um diese Infrastruktur nach und nach wieder ans Netz zu bringen, ohne die Sicherheit erneut zu gefährden. Die Krise offenbarte auch, wie sehr die Universität auf das Miteinander und die Flexibilität aller angewiesen war. Mitarbeiterinnen und Mitarbeiter verschiedener Fachbereiche zeigten außergewöhnliche Einsatzbereitschaft. Von der technischen Unterstützung über die Organisation der Verpflegung und Betreuung bis hin zur psychologischen Unterstützung erhielt jede Person eine wichtige Rolle.
Kurze Pausen zwischendurch dienten nicht nur der Regeneration, sondern auch zum gegenseitigen Austausch von Befindlichkeiten – eine Maßnahme, die die Moral und das Gemeinschaftsgefühl stärkte. Besondere Herausforderungen ergaben sich auch bei der Unterstützung der Studierenden. Die Abteilungen für Bildungs- und Studierendenangelegenheiten waren das Bindeglied zwischen den technischen Teams und den Betroffenen. Sie organisierten etwa eine WhatsApp-Hotline für Anfragen und leisteten umfangreiche Beratung, um Unsicherheiten und Ängste zu mildern. Die Ungewissheit über den Fortgang der Kurse und Prüfungen erforderte kreative und flexible Lösungen, um den akademischen Kalender bestmöglich zu wahren.
Was die Universität aus dem Vorfall gelernt hat, ist vor allem die elementare Bedeutung siebenfacher Sicherheitsvorkehrungen, die von technischen bis menschlichen Faktoren reichen. Zwei Jahre Erfahrung im Umgang mit Cyberangriffen hatten das Krisenteam optimal vorbereitet, doch die mutige Entscheidung, die Netzwerke sofort abzuschalten, wäre ohne regelmäßige Notfallübungen schwer gefallen. Die Implementierung neuer VPN-Verbindungen mit Multi-Faktor-Authentifizierung ist nur eine von vielen Verbesserungen, die inzwischen die Abwehrkraft deutlich verstärkt haben. Die Verantwortlichen heben hervor, dass Informationssicherheit stets ein Gemeinschaftsprojekt ist. Sicherheitsbewusstsein auf allen Ebenen, sorgsamer Umgang mit Zugangsdaten und eine offene Fehlerkultur tragen entscheidend dazu bei, Angriffe möglichst früh zu entdecken und zu stoppen.
Die Universität setzt nun verstärkt auf Schulungen und Sensibilisierungskampagnen, damit die gesamte Gemeinschaft wachsam bleibt. Ein weiterer wichtiger Aspekt bleibt die kontinuierliche Überwachung und Analyse der Systeme, die gemeinsam mit externen Partnern noch weiter ausgebaut wird. Der Wettlauf zwischen Sicherheitsfachleuten und Cyberkriminellen ist ein dynamischer Prozess, bei dem Schnelligkeit, Kreativität und technologischer Fortschritt gleichermaßen zählen. Die Universität ist sich bewusst, dass kein System absolut immun ist, aber sie hat aus der Krise Strategien entwickelt, die ein deutlich erhöhtes Schutzniveau bieten und künftige Angriffe erschweren sollen. Die Abschlussberichte, die im Mai 2025 veröffentlicht werden, fassen die gewonnenen Erkenntnisse detailliert zusammen und dienen gleichzeitig als Leitfaden für andere Institutionen, die ähnliche Herausforderungen bewältigen müssen.
Transparenz bei der Aufarbeitung, den Lessons Learned sowie bei den geplanten Maßnahmen festigt das Vertrauen der gesamten Hochschulgemeinschaft und der Öffentlichkeit. Zusammenfassend zeigt die Geschichte des Cyberangriffs an der Technischen Universität Eindhoven, wie entscheidend die Verbindung von technischer Kompetenz, mutigem Leadership und menschlicher Zusammenarbeit ist, um eine digitale Krise zu meistern. Der Angriff war zweifellos ein Stresstest für die Universität, doch er offenbarte auch die Stärke eines engagierten Teams, das trotz Stress und Ungewissheit an einem Strang zog. Anstatt sich von der Attacke lähmen zu lassen, entwickelte die Universität Verbesserungen und Strategien, die sie sicherer und widerstandsfähiger machen. In dieser Krisenzeit bewies die Universität, dass echte Teamarbeit und schnelle Entscheidungen durchdachter Notfallpläne auch in digitalen Zeiten den Unterschied zwischen Schaden und Heilung ausmachen können.
Die Universität hat nicht nur überstanden, sondern ist an der Herausforderung gewachsen – gemeinsam durch den Sturm.
![Propositions as Types [pdf]](/images/3F438AFD-8788-464B-B5F4-53B7492623C2)
